[SECURITY-L] CAIS-Alerta: Atividade do Trojan QHosts-1

Security Team - UNICAMP security em unicamp.br
Seg Out 6 14:24:16 -03 2003 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Atividade do Trojan QHosts-1
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 3 Oct 2003 16:21:59 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

        O CAIS tomou conhecimento de que esta' circulando na Internet um
novo trojan chamado QHosts-1, que explora a falha do Internet Explorer
ainda nao corrigida para modificar as configuracoes DNS do computador
infectado, com objetivo de redirecionar as requisicoes feitas pelo usuario
para dominios especificos.

        O malware infecta maquinas que estejam executando Windows 2000 ou
Windows XP, atraves de Pop-ups que aparecem quando o usuario acessa
determinados sites.

A sequencia de infeccao e' listada abaixo:

1. O usuario e' direcionado a um web site que contem o codigo malicioso

2. Um script em Visual Basic e' automaticamente executado, gravando o
   arquivo AOLFIX.EXE no diretorio %TEMP%.

3. O arquivo AOLFIX.EXE e' executado imediatamente, executando diversas
   operacoes.

4. O script cria o arquivo O.BAT, que e' executado ao final para remover
   os arquivos AOLFIX.EXE e O.BAT.

As mudancas efetuadas no sistema contaminado sao:

1. O arquivo HOSTS e' criado no diretorio %WinDir%\Help, redirecionando
   sites de busca mais populares para o endereco IP 207.44.220.30.

2. A chave de registro
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
   "DataBasePath" = %SystemRoot%\help e' criada para modificar o path do
   arquivo HOSTS.

3. A configuracao de DNS e' alterada, passando a ser 69.57.146.14 e
   69.57.147.175.

4. A chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\windows
   "r0x" = your s0x e' criada

5. Um arquivo de controle chamado winlog e' criado dentro do diretorio Windows

6. O diretorio c:\bdtmp\tmp e' criado.

7. Diversas chaves de registro do Internet Explorer sao criadas ou
   modificadas, como segue:

* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Search Bar" =  http://www.google.com/ie
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use Search Asst" = no
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl "(Default)" = http://www.google.com/keyword/%s
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Search Page" = http://www.google.com
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl "provider" = gogl
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search "SearchAssistant" = http://www.google.com/ie

As instrucoes para desinfeccao do sistema contaminado:

1. Desabilitar a opcao Active Scripting no Internet Explorer

2. Remover os arquivos %WinDir%Help\hosts e %WinDir%\winlog

3. Modificar a seguinte chave de registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
   "DataBasePath" = %SystemRoot%\System32\drivers\etc

4. Remover a seguinte chave de registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\windows "r0x"

5. Reconfigurar as opcoes de DNS novamente.


Maiores informacoes podem ser obtidas em:

        http://vil.nai.com/vil/content/v_100719.htm
        http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-032.asp
        http://www.rnp.br/cais/alertas/2003/cert-in-200304.html

O CAIS recomenda aos administradores manterem seus sistemas e aplicativos
sempre atualizados, de acordo com as ultimas versoes, correcoes ou
solucoes de contorno disponibilizadas pelos fabricantes ou grupos de
seguranca de renome na area.


Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBP33MYekli63F4U8VAQGiCwQAoFrif+nvGqyli5U0rYqhkTDO7c7shTAE
IyxWjEQndRwsS7GW0PtyzzkQ3vNnYFNELoFyX8rkymOE8juHSTjqLxPHAs+9P65I
m9tuTDqa7hA0ipFQPOo82DbuFgUTny6t1KR8vtOvxpzv3hMEhBRZvj6N/f8c0a+O
51TMwZgxK+U=
=OlAe
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L